漏洞到底值多少錢？

漏洞獎勵數額不是“看著給的”，而是經過精心計算的。

口令安全公司1Password最近將其漏洞獎勵最高獎金從$25,000提升到了$100,000。其博客上稱，獎金數額的增加，是為了更進一步激勵研究人員。無獨有偶，谷歌去年的漏洞獎勵項目也是大手筆，共花了300萬美元。

但是，這些數額到底是怎么確定的呢？

眾測平臺Bugcrowd的運營副總裁大衛(wèi)·貝克表示，這些大獎表明，公司企業(yè)已經開始真正思考漏洞市場，以及漏洞的市場價值。

“一個漏洞應該值多少錢？”，這是寄望于眾包安全測試的公司常會提出的問題。

隨著漏洞獎勵市場的成熟，該問題的答案也在不斷發(fā)展中，但成功關鍵還是保持不變——以恰當的激勵吸引正確的研究人員。然而，大多數公司都沒認識到的是，影響獎勵支付區(qū)間的決定因素是多樣而又復雜的。

從定義范圍，到建立有吸引力的支付區(qū)間和吸引具有堅實基礎的研究人員積極參與，啟動一個獎勵項目會非常復雜，且會隨著項目的進程愈趨復雜。貝克共享了一些界定漏洞獎勵項目范圍的最佳實踐，包括怎樣提升支付額度，何時提升，以及公司企業(yè)該如何從獎勵項目中獲取最大收益。

換位思考

最開始界定項目范圍的時候，強調范圍對項目成功的關鍵性是十分重要的。范圍以最簡單的形式告訴研究人員哪些該做，哪些不該做，這將決定你能否從眾包項目中獲得想要的結果。而且，這還延伸到了定價目標。不妨將自己換位到研究人員的角色去思考。你知道特定漏洞對公司的價值——這就是你應該為此支付的金額。

定義漏洞價值

這是公司成功創(chuàng)建范圍所需要問的重要問題之一，且取決于公司、公司目標，以及公司安全團隊的規(guī)模。隨著越來越多的公司將其業(yè)務和安全目標依托眾包出去的安全項目，我們開始看到眾包動機和活動的總體上升趨勢。通過深入研究和評估潛在漏洞對業(yè)務的影響，以及了解漏洞市場，公司可以在任意時間點正確定義特定漏洞的價值(該價值會隨時間而變化)。

正確的時間正確的價格

公司安全成熟度，是確定漏洞獎勵方式的關鍵因素。有著更為成熟的安全項目的公司，會具備聚焦安全的過程。因此，漏洞也就需要花費更多的時間精力去查找。建議基于優(yōu)先級分類來定義漏洞的項目獎勵，但要記得隨漏洞對公司安全的意義增加獎金。

創(chuàng)建有競爭力的項目

漏洞獎勵市場快速發(fā)展，各項目之間存在競爭，若沒有恰當的指導，很多公司會陷入項目籍籍無名的困境，吸引不到最好的研究人員。保持競爭性不僅僅止于高額獎金——屬意目標的廣度總能吸引到人才，公開發(fā)行的機會也有同樣效果。對研究人員而言，公開曝光是某種形式上的威望，證明了挖掘有價值事物所需的技術和知識，也是教授同行和消費者野生漏洞的教育工具。同時，也為初入行的個人提供了職業(yè)機會和授權影響力。

市場營銷的力量

別低估了漏洞獎勵項目市場營銷的力量。很多公司將其漏洞獎勵項目作為展示其安全態(tài)勢的大好機會。增加獎勵，是展示公司對自身安全和客戶安全重視程度的絕佳方式。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。